Selliance : le poisson d'avril en retard

1 minute de lecture art

Je pourrais vous faire un article long et argumenté sur le nouveau réseau social qu’est Selliance et l’impact (grosse dose de lol) qu’il va avoir dans le paysage de l’internet connecté.

Au lieu de ça, je vais m’illustrer en une image :

Sérieusement, maintenant, en plus de reprendre les fonctionnalités des réseaux sociaux existants, on ne se foule même plus en pompant carrément la homepage (en arrivant a faire quelques chose de pire que Facebook graphiquement parlant, mais la on touche aux goûts et aux couleurs).

Mais ce n’est pas tout !

Alerte Rouge de développement

Les développeurs ont pensé intelligent de stocker votre mot de passe dans leurs base de donnée (ou du moins d’envoyer ce mot de passe par le formulaire, ce qui n’est pas recommandé). Je déconseille donc de vous inscrire sur ce site, car les mots de passes que vous inscrirez ne seront pas en sécurité.

Un jour il faudra que j’écrive un manuel des bonnes conduites a avoir pour les développeurs de site internet, car c’est vraiment préoccupant de voir encore de grosse bourdes comme ça sur internet…

Bref, je vous déconseille ce site, et je pense que de toutes manières il ne va pas faire long feux.

On se retrouve sur Google + ;)

Commentaires

Laurent ATTALI

Bonjour Arthur,

C’est toujours la première claque qui fait le plus mal.

Je suis le gars à l’origine de ce projet fou. Et il me faut reconnaitre la justesse de l’analyse. Notre page d’accueil ressemble trop à celle de fb. Nous avions la tête dans la programmation des bases de données que cette ressemblance nous a échappé. Nous allons la modifier rapidement. Fb n’est pas un objectif réaliste.

Pour la confirmation du mot de passe votre analyse est encore pertinente.

Quant à la durée de vie de Selliance nous nous sommes préparé à une montée en charge sur plusieurs années sans que cela nous rapporte de l’argent. Selliance est gratuit et se base sur cette gratuité pour répondre aux attentes des utilisateurs.

Notre stratégie est d’apporter de nouvelles fonctionalités. Nous désirons réellement aider les entreprises les commerces et les particuliers à mieux communiquer entre eux. Il n’est pas acceptable que nous devions payer pour diffuser des offres d’emplois, il n’est pas acceptable de payer pour de la publicité locales ou pour des annonces. Il n’est pas non plus acceptable de payer un abonnement pour développer son réseau professionnel.

Cela ne sera pas facile. On va surement en prendre plein la figure. Soyez sur cependant de notre détermination.

Enfin, à la question de savoir pourquoi développer un réseau social français je vous direz que je suis convaincu que l’accès à internet se fera de manière passive via les réseaux sociaux d’ici 5 ans. Ces réseaux gèrerons les relations entre les entreprises et les particuliers. Il est préférable que nous puissions en France posséder de tels outils.

L’échec n’est pas une option envisageable.

Laurent Attali

art

Bonjour Laurent, je suis d’accord sur le principe du site, la gratuité pour tout.

Je vous remercie pour ce message et ces explications, comme on dit, faute avoué, à moitié pardonnée.

Je ne saurais que trop vous conseiller d’encoder le mot de passe (en md5 par exemple) en javascript avant d’être transmis à votre serveur, et de comparer les chaînes encodées lors de l’identification.

Dév anonyme

Je ne suis pas d’accords avec l’analyse de la gestion du mot de passe. Le fait que le mot de passe soit fourni dans le mail de veut pas dire qu’il est stocké en tant que tel dans la base de données. Si le mail est généré avant l’enregistrement, le mot de passe n’est qu’une variable que l’on peut placer dans le mail avant de l’encoder en md5 pour l’enregistrer en BDD. De plus, l’encodage se fait forcement avec un langage côté serveur comme php ou asp, pas javascript. En revanche, si tu utilises la fonction pour récupérer ton mot de passe, après l’inscription, et que tu le reçois en clair dans le mail, il y a un problème de sécurité évident.

art

Je t’arrête tout de suite : l’enregistrement ne se fait pas forcément coté serveur. La bonne pratique est dans la mesure du possible de ne JAMAIS transmettre le mot de passe au serveur, en la confiant au possible a une fonction javascript qui moulinera avant l’inscription.

Et transmettre le mot de passe par mail n’inspire pas la sécurité dans une application, comme je l’ai dit, ça ne veut en effet pas forcément dire qu’elle est stocké en base de donnée (quoi que Laurent a dit le contraire)…

Dév anonyme

La transmission du mot de passe au serveur lors de l’enregistrement ce fait obligatoirement avec un input type password et surtout pas en javascript car c’est dans ce cas que le password est récupérable. Si tu utilises javascript pour encoder le mot de passe, on peut retrouver facilement la fonction et donc la façon dont ce fait l’encodage et c’est ça qui est dangereux. Si tu as un exemple de site qui utilise ta technique, ça m’intéresse. La technique que je t’expose est utilisé par tout le monde et en particulier par les géants du web. Par contre, tu as raison dans le sens où le créateur du site à l’air d’avouer que les mots de passe ne sont pas encodé.

art

Hello dév,

En fait le mot de passe n’est pas récupérable dans le sens ou en utilisant un cryptage de type md5 (ou autres hash), il suffit après d’agir par comparaison, et il n’y a pas d’algo qui “décrypte” le mot de passe, il faut juste encrypter a nouveau le mot de passe et le comparer avec la chaîne crypté lors de l’inscription.

Ce que je dis je ne l’ai pas rêvé, après faire un hash avant le transfert sur le serveur n’est pas aussi efficace qu’un certificat de sécurité SSL, mais envoyer un mot de passe en clair au serveur est une mauvaise pratique car (par exemple) en se connectant sur le site en question a partir d’une borne publique, il est possible de sniffer tes variables postées, et donc le fameux mot de passe.

Laisser un commentaire

Votre adresse email ne sera pas visible. Les champs obligatoires sont marqués *

Chargement...
Reçevoir les prochains commentaires de cet article.